27. februar 2008 - 14:46Der er
22 kommentarer og 1 løsning
USB Nøgler på workstations i Server 2003 miljø
Hej Eksperter!
Vi har lige fået nye pcere på skolen som er blevet sat op, dog har vi nu fået det problem at når en elev sætter en usb nøgle i beder den om administrator kode. Hvis vi så har haft den pågældene nøgle sat til som administrator, kan eleven bagefter godt få lov at sætte dne til og bruge den uden administrative rettigheder.
Det betyder jo nærmest at det er driver installationen eleven ikke må få lov til. Vi kunne selvfølgelig gøre dette på hver enkelt maskine, men da den vil have det for hver usb nøgle ku det godt gå hen og tage meget lang tid.
Så det vi søger er en måde hvorpå vi kan give eleverne rettigheder til at bruge USB nøgler uden at man skal bruge en administrator kode.
Det er Windows XP maskiner med SP2.. Nede i gruppe politikerne har vi allerede prøvet med "Computer konfiguration - Windows-indstillinger - Sikkerhedsindstillinger - Lokale Politiker - Tildeling af brugerrettigheder"
Også på politiken "Indlæs og Udlæs enhedsdrivere" har vi så sat "everyone" til at måtte dette.. Men det virker ikke..!
Herinde ligger følgende filer: %SystemRoot%\Inf\Usbstor.pnf %SystemRoot%\Inf\Usbstor.inf
Og tjekker jeg sikkerhed for dem er den sat til Everyone -> Full control
Også på første side når man lige klikker på dem står der "Configre this file or folder then Propogate inheritable permissions to all subfolders and files" i den der er krydset af..
Synes godt om
Slettet bruger
28. februar 2008 - 15:53#10
Det er ikke standard, så der er nogen der har forsøgt.. Nu er Everyone ikke det samme som alle på en Windows Server 2003, det var det på en 2000 server. Prøv med Domain Users.
Om det har noget med disse 2 filer at gøre ved jeg som sagt ikke. Men man kan gøre det modsatte. How to disable the use of USB storage devices: http://support.microsoft.com/?kbid=823732
Hej igen Vi har forsøgt at force gp'en ud. Det virker heller ikke. (Vi kører med obligatoriske profiler, her på stedet, men jeg har også forsøgt mig med en konto, som ikke har en obligatorisk profil.)
Vi har også prøvet at sætte en lokal gp med samme indstillinger som på serveren. Det virker heller ikke.
Kan det være en sikkerhedsopdatering fra Microsoft?
Synes godt om
Slettet bruger
03. marts 2008 - 19:50#15
Nej det er det ikke. Jeg har lige testet på min 2003 DC, lige opdateret, det samme med mine XP'er. Det virker som det skal.
Du må lave et eller andet galt med din GPO.
Opret en OU til dine klient maskiner, flyt de maskiner der skal påvirkes af den nye GPO over i OU'en. Opret din GPO i den nye OU. Husk at det skal være en machine policy.
Det mest underlige ved det hele er at det pludselig kom efter vi havde fået de nye compture. Vi har ikke rørt ved GPO'en overhovedet og også de gamle maskiner vil nu ikke acceptere usb nøgler uden administrator rettigheder. Det skete bare lige pludselig!
Synes godt om
Slettet bruger
04. marts 2008 - 00:51#17
>djfonzi Hvad har du gang i? Det kan da ikke være det oprindelige spørgsmål? :-)
Hej igen Det duede heller ikke at lave politikker på en ny OU. Men jeg læste følgende om Enable/Disable Device Drivers:
"Load and unload device drivers This user right determines which users can dynamically load and unload device drivers or other code in to kernel mode. This user right does not apply to Plug and Play device drivers."
En usb-nøgle er vel en plug and play device driver, og så er det jo pludselige ikke så sært, at intet sker, når man tildeler den gruppepolitik. :-)
Så jeg leder videre.
Synes godt om
Slettet bruger
07. marts 2008 - 11:32#20
Har du kontrolleret, på en klient, om sikkerheden er ændret på: %SystemRoot%\Inf\Usbstor.pnf %SystemRoot%\Inf\Usbstor.inf således at brugerne har skrive rettigheder?
Ja. Domain users har skriverettigheder i de filer.
Synes godt om
Slettet bruger
08. marts 2008 - 23:36#22
Er de brugere som der er tale om medlem af Domain Users? Jeg forstår det ikke helt, da jeg testede virkede det. Jeg kan ikke teste mere, da jeg har "brugt" mine USB-penne og computere.
Ja, det er kun domænebrugere, der kan logge på pc'erne. Det er jo højst mystisk...
Men tak for din indsats.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
